方 印， 李 杰

(贵州大学 法学院，贵州 贵阳 550025)

《中华人民共和国民法典》(以下简称《民法典》)的出台标志着我国已迈入以信息为标识的民法典时代。在以信息为标识的民法典时代，一切事物都披上了由数据符号所构成的“外衣”(独特的信息化外观)，信息深刻影响着社会主体的行为模式乃至社会结构。个人信息是个人在信息社会中的重要认知“外衣”，通过有效识别个人信息可以科学建立社会主体之间的有机联系，因而信息社会中的个人信息是关键性的个体标识。当个人信息被非法泄露或不当使用时所带来的不良后果可能就是侵犯个人尊严和自由，危害个人财产和健康安全，甚至给社会公共利益带来一定风险。因此，《民法典》着重对个人信息保护的现实问题予以正面回应，集中体现在第111条、第127条，以及第1032条至1039条的规定中。由此可见，个人信息的全方位、立体化、多层次保护逐渐成为民法典时代至关重要的法科课题，个人信息控制权则是该法科课题中最具代表性的视角和论域。理论界，以“概念界定”[1]“法律属性”[2]“保护规则”[3]等为主题的个人信息控制权的法理讨论备受瞩目。尽管如此，有关个人信息控制权的法理研究仍然呈现出基础理论不足的贫弱状态。比如，个人信息控制权是在何种逻辑指引下生成的，其实现过程面临着哪些困境，以及这些困境又当如何解决等问题，对这些问题学界仍缺乏深入的思考和严密的论证。现实层面，个人信息控制权基础理论研究不成熟使得目前我国个人信息立法在个人信息保护制度构建方面仍缺乏实质性推进和有用性规范。鉴于此，本文试图从民法典时代个人信息控制权生成逻辑的视角切入，在充分剖析个人信息控制权实现困境的基础上，提出个人信息控制权规范构建的科学维度，以为民法典时代个人信息的全面保护提供决策参考。

一、个人信息控制权的生成逻辑

权利的生成逻辑是新兴权利研究的重要基点，厘清新兴权利从何而来是科学认识新兴权利本质的必要路径。相较于传统权利的生成逻辑而言，新兴权利的生成逻辑更为复杂，这是由新兴权利从隐性权利转变为显性权利的复杂性所决定的。民法典时代的个人信息控制权作为一项新兴权利，是由多方面因素综合在一起发挥权利生成推动作用的，理论界应当从多维度的视角去辩证审视和科学厘清个人信息控制权的生成逻辑。

(一)现代信息社会风险下的理念增生

大数据时代，网络化和数字化逐渐成为信息文明社会的基本交流方式，信息已成为社会个体不可分割的构成性要素，自然人正在实现向“信息人”转变[4]。在此背景下，个人信息的大规模商业利用逐渐成为时代主流趋势，大数据技术和信息自动化处理技术的空前发展使得所能采集的个人信息的内容更广，涉及的信息主体(社会个人)更宽。这些技术在带来社会进步和生活便利的同时，也将个人变成信息社会风险下的“透明人”，使得信息主体的“数字人格”暴露无遗。加之个人信息采集手段的秘密性和相关利益链条的多元性，使得信息主体往往不知道其个人信息是否、被谁以及如何被收集、加工和利用。个人信息正处于严重的失控状态，以致个人信息安全及相关安全(如信息主体自身的安全)在信息社会的高风险下岌岌可危。

个人信息控制权理念的出现使得个人信息在现代信息社会高风险下回归于信息主体的实际有效控制状态，个人信息能够最大限度地为信息主体所支配而不被他人非法干预或破坏，从而降低个人信息被侵害的风险。在民法典时代，欲想对个人信息进行全方位、立体化、多层次的保护，已不能仅满足于信息主体“不被干预”的消极防御状态，还应满足信息主体对个人信息积极支配和利用的正当需求。个人信息控制权中的“控制”不仅包括信息主体对其个人信息遭到非法收集或干预时的抵御，还包括信息主体对个人信息的积极支配和利用。再者，“控制”落脚于信息主体对其个人信息掌控的整个过程(主要包括保管阶段、支配阶段以及利用阶段)，力求对个人信息进行全方位、立体化、多层次的保护。鉴于此，有学者提出信息主体对个人信息的支配性控制是自然人民事主体地位的现实例证和时代表征[5]。总之，在以信息为标识的民法典时代，个人信息控制权理念是由现代信息社会的风险催生而出的。

(二)传统权利惯性下的概念创设

随着社会的变迁与时代的发展，传统权利的内涵和外延正在不断实现当代化的转向。隐私权作为一种传统权利，在工业文明时代主要是指私人生活不受干扰的权利，体现为一种被动的消极的权利，具有典型的防御权的特性。随着信息文明时代的来临，数据信息正成为现代人存在的必须载体与基本形式，信息主体的个人信息无时无刻不被采集、传播和利用，由此，个人信息的内涵范围远大于个人隐私的内涵范围。可见，工业文明时代的隐私权显然不能为信息文明时代的信息主体提供充足的保障和有效的救济。正因如此，工业文明时代传统隐私权的理论和内涵正在发生质的转变。这种转变主要体现为，信息文明时代的现代隐私权不仅拥有防御权的特质，还拥有控制权的特质[6]，即现代隐私权在传统隐私权基本内容的基础上增加了信息主体对其个人信息的控制权能，这是一种权利内核的演变，即隐私权的构造由“消极权利”转向“积极权利+消极权利”。

“旧有的法律权利和非法律权利当然是任何新兴权利的母体与孕育土壤。”[7]个人信息控制权是在传统隐私权惯性下产生的，此项权利不仅包含个人信息的隐私安全不受侵犯的内容，还包含信息主体对个人信息积极控制和支配的内容。也就是说，信息主体有权自主决定个人信息的持有机构，掌握其个人信息被持有的范围以及处理方式，凸显的是信息主体对个人信息流通的控制权能。在当前法律法规未对个人信息控制权的基本概念做出明确界定的情况下，可以从既有隐私权的理论和内涵出发对个人信息控制权的基本概念进行创设，即个人信息控制权是指权利主体依法自主控制(主要包括支配、保管、利用等)个人信息的权利(除非法律另有规定)。也就是说，除非法律另有规定，权利主体有权自主决定个人信息的持有机构，掌握个人信息被持有的内容、被利用的范围以及被处理的方式等基本情况，并享有排除他人侵害个人信息的权利。总之，民法典时代的个人信息控制权是在传统隐私权这一权利惯性下的概念创设。

(三)诸多学说争议下的属性定位

所有权说和隐私权说是学界对个人信息控制权法律属性的最早认知。随着个人信息控制权基础理论研究的不断深入，所有权说和隐私权说逐渐退出历史舞台，取而代之的是人格权兼财产权说和人格权说。人格权兼财产权说主张对人格权的保护是为维护权利主体的人格利益，对财产权的保护是为维护权利主体的财产利益，对个人信息进行确权应结合其体现的具体价值而定；人格权说主张个人信息仅具有人格利益，不具有直接性的财产价值，人格权是个人信息控制权的法律属性。可见，这两种学说对大数据信息化时代下的个人信息是否具有直接性的财产价值认知不同。对此有学者认为，大数据信息化时代下的个人信息蕴含着一定的商业价值，当其被广泛商业利用后将产生一定的财产利益，所以个人信息具有直接性的财产价值[8]。另有学者认为，个人信息不具有直接性的财产价值，个人信息在大数据信息化时代商业利用中所表现出来的财产利益是基于信息处理机构附加劳动产生的，或是个人信息与权利主体分离后所形成的“复制物”[9]。

笔者认为，在大数据信息化时代对个人信息控制权法律属性的认知探索应回到个人信息本质特征的层面，并合理注意人格要素扩张这一基本事实。一方面，个人信息具有依附性(依附于个人才有存在意义)，财产具有独立性(独立于个人之外的客观存在)，也即意味着个人信息在被商业利用时，商家的目的往往聚焦于信息主体而非表现为数据内容的个人信息，所以个人信息不具有财产性；另一方面，人格要素是人格权的客体，随着与人格权相关的新情况新问题新技术的不断出现，自然人的人格要素得到广泛发展和极大扩张。在此背景下，大数据信息化时代信息主体对人格要素的控制越来越多地表现为对其个人信息的自主支配、传播与利用，在这一过程中个人信息是人格要素的扩张产物，具有强烈的人格属性(承载着平等、自由、尊严等核心价值)。因此，一项特殊的、独立的人格权应当是民法典时代个人信息控制权的法律属性[10]。

(四)新兴权利语境下的范畴认知

就概念本质而言，新兴权利是一个表征权利束(丛)的统合概念，其代表的是一系列不同类型的权利集合。个人信息权是信息文明时代一项新兴的权利束(丛)，由多个具体的子权利组合而成，且各项子权利处于不断互动的状态。有学者认为，个人信息权是权利主体依法对其个人信息所享有的支配、控制并排除他人侵害的权利，包括信息查询权、信息决定权、信息保密权等具体权能[11]；也有学者认为，个人信息权的新形态是在原有人格权、隐私权等传统权利的基础上创生出来的一组新权能，包括个人信息控制权、被遗忘权、剩余权等权能[12]；还有学者认为，控制权是个人信息权的权利束基点，同时也是个人信息权的权利结构核心，包括个人信息的自决权、禁止权、许可权等基本权能[13]。

不难发现，尽管理论界对个人信息权的具体认知各有不同，但其核心均是强调信息主体对个人信息的有效控制(自主保管、自主利用以及自主支配)，承认控制权处于个人信息权权利束(丛)中的核心地位，是个人信息权研究的关键所在，是个人信息权利体系的法学研究中最具代表性的权利论域。鉴于此，有学者进一步提出个人信息权是信息主体对其个人信息的一种控制权，其核心在于保障信息主体自主控制下的个人信息适当传播[14]。因此，个人信息控制权的基本范畴主要包括信息主体对个人信息的决定收集权能、利用权能、复制权能、查询权能、异议权能、更正权能以及删除权能(1)《民法典》第1037条规定“自然人可以依法向信息处理者查阅或者复制其个人信息；发现信息有错误的，有权提出异议并请求及时采取更正等必要措施。自然人发现信息处理者违反法律、行政法规的规定或者双方的约定处理其个人信息的，有权请求信息处理者及时删除”，此条正是信息主体对个人信息具有查询、复制、异议、更正、删除等权能的具体表达。。

二、个人信息控制权的实现困境

研究新兴权利不仅要进行理论层面的认知探索，还要进行实践层面的真实考察。在考究民法典时代个人信息控制权的生成逻辑之后，应从理论层面回归现实处境，从现实视角对个人信息控制权的真实样态加以科学审视，如此路径可有效摆脱只谈理论认知而忽略实践考察，抑或只谈实践考察而忽略理论认知的尴尬处境。综合研判发现，个人信息控制权在实现过程中存在权利混淆、权利冲突、权利被侵犯以及权利被滥用的现实困境。

(一)权利混淆困境

先进权利理论的产生是为了解决已有权利理论不能解决的问题，弥补传统权利理论在认知层面和时代层面的缺陷。个人信息控制权作为一项新兴权利，就其权利理论产生的目的而言，是为了解决传统权利不能有效满足信息文明时代信息主体的个人信息保护问题，弥补传统权利的缺陷和不足。个人信息控制权作为个人信息权利束(丛)中最为核心的权利，目前虽没有进入立法文本，但在学术界已被广泛关注和认可。个人信息控制权理论的发展不仅需要在信息权利体系下对其性质进行准确定位，更需要厘清个人信息控制权与其他权利的界限。

但迄今为止，理论界对个人信息控制权的概念解释仍较为模糊，其权利的客体和权利的边界均未得到较为明确的表述，研究者通常将个人信息控制权与个人数据权、隐私权等权利混同使用。实务界将个人信息控制权与隐私权相混淆的情形更为严重，这种混淆主要体现为将隐私权的解释规范适用于个人信息控制权。这种认知混淆注定了个人信息控制权的理论发展与制度生成将是一个漫长艰辛的过程。一方面，个人信息控制权的概念虽起源于传统的隐私权，但这并不意味着个人信息控制权和隐私权就可以相互替代，否则民法典时代个人信息控制权的生成和实现就只能是空谈；另一方面，权利的客体范畴不同决定了权利的内涵和外延也有所不同。由于缺乏对个人信息控制权客体的科学厘定，出现权利混淆的困境在所难免。

(二)权利冲突困境

在多元权利并存时代，个人信息控制权与其他权利不仅存在互为依托的共生关系，也存在权利行使过程中的冲突关系。个人信息控制权与知情权的冲突尤为突出。在现实层面，这种冲突主要体现为在重大疫情防控中患者个人信息控制权与公众知情权的冲突、互联网征信中被征信人个人信息控制权与授信人知情权的冲突等。

“权利冲突实质上就是一种利益冲突，是以权利冲突形式表现出来的利益冲突。”[15]就重大疫情防控中的权利冲突而言，主要体现为个人信息人格利益与公共利益之间的相互博弈。在重大疫情发生期间，确诊患者和疑似患者希望通过行使个人信息控制权获得身心的安宁，保障自身的信息人格利益；而公众希望通过行使知情权知悉可能对其生命健康安全存在威胁的患者信息，以维护由每一个私主体集聚而成的公共利益。当个人信息控制权和公众知情权相互交织时，必将发生个人信息人格利益与公共利益之间的相互碰撞，从而引发权利冲突现象。就互联网征信中的权利冲突而言，主要体现为个人信息人格利益与授信人经济利益之间的相互博弈。在互联网征信活动中，被征信人通过行使个人信息控制权隐瞒对自己不利的信用信息和隐私信息，以维护其个人信息人格利益；而授信主体通过行使知情权获知信用申请人的信用信息，从而实现其在信用交易中的经济利益。基于理性经济人的视角，授信主体会通过权利扩张的方式不断寻求经济利益，而权利扩张的后果必将导致利益的争夺，从而引发权利的冲突。整体来看，目前个人信息控制权所保护的利益与其他利益频繁碰撞，且现实法律和政策缺乏对相关利益进行调和的应有关怀，导致个人信息控制权与其他信息权利之间存在冲突这一现实困境。

(三)权利被侵犯困境

在数字化信息时代，信息主体的个人信息被广泛地收集、存储以及传播，如网络商家通过检视客户的网络浏览痕迹，就能准确预测其数字人格。在巨大经济利益的驱动下，个人信息控制权侵害事件层出不穷，侵害个人信息控制权的行为主要表现为非法利用、非法加工、非法传播、非法储存以及非法倒卖个人信息等。《民法典》虽对信息主体的个人信息做出明确的保护规定(2)《民法典》第111条规定“自然人的个人信息受法律保护。任何组织或者个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息”；第1034条规定“自然人的个人信息受法律保护” 。，但个人信息控制权在我国仅为学术研究层面的一个法学概念，并没有被现行法律规定为一种法定的权利类型，以致有学者持有将其视为一种防御性利益并予以保护的立法态度[16]。司法实践中，裁判者在判定个人信息侵权案件时更多的是适用隐私权和名誉权的相关规范，在涉及他人社会评价时将个人信息控制权视为名誉权，而在涉及个人信息权益时将其视为隐私权[17]。

由此可见，一方面，目前个人信息控制权仍只是一种难以实现的学术层面的抽象权利，缺乏立法应有的关怀与司法的实质保障。另一方面，现实生活中侵害个人信息控制权已形成完整的利益链条，从收集到加工再到贩卖或滥用的整个过程涉及多个侵权主体，侵权主体的多元化和侵权方式的技术化导致个人信息控制权的侵权行为越发隐蔽，难以被准确识别。由于人格利益的无形性，当个人信息控制权受到侵犯时往往表现为无形的损失，受害人对此难以举证证明。以上种种因素的合力致使个人信息控制权受到侵犯时，受害人无法有效举证证明自身权利受到侵害，受损权益难以得到及时有效的救济。

(四)权利被滥用困境

权利被滥用属于违法行为，权利主体滥用权利将导致正义价值缺位。权利被滥用得以成立应满足形式要求、实质要求和法律要求，即有行使权利的外观、权利本旨所不容、违反法律规定。采用不正当手段实现权利、牺牲他人权利实现权利、突破权利界限追求额外利益等行为均属权利被滥用的行为。

在个人信息控制权的实现层面，当权利主体行使个人信息控制权时，对其他权利主体的利益(个人利益或公共利益)损害极大，而权利主体的既得利益极小，此行为即为权利被滥用的行为。其中，最为突出的表现就是滥用个人信息控制权对公共利益造成了损害。比如在重大疫情发生时，确诊患者由于考虑个人信息的人格利益，往往倾向于尽可能少地提供个人信息并对个人信息的公开产生抵触情绪，甚至以行使个人信息控制权为由拒不公开相关信息，最终导致公共利益被损害。从更深的层次来看，在大数据与网络信息化时代，为充分保障个人信息的规范流通，承认信息主体拥有个人信息控制权确有必要，但目前个人信息控制权被滥用，抑或不分情形随意使用等现象时有发生。再者，理论、立法及司法层面对信息主体行使个人信息控制权的合理界限或必要限度并未明确，也即意味着，个人信息控制权中的“控制”属于全面控制还是相对控制并未合理辨明，导致个人信息控制权出现权利被滥用的困境。

三、个人信息控制权的塑造维度

一般而言，新兴权利的塑造需要从理论解释出发，在充分审视新兴权利实现样态的基础上，对新兴权利的构建框架进行有针对性的设计。个人信息控制权的生成逻辑理论研究尚未结束，又面临着权利混淆、权利冲突、权利被侵犯以及权利被滥用的实现困境，这些困境并存交织，增加了理论研究与实务运用的难度。面对这种复杂局面，应从客体厘定、利益调和、实质保障、合理限制的维度对个人信息控制权进行规范塑造。其中，客体厘定是前提，利益调和是基础，实质保障是核心，合理限制是关键，四者之间相辅相成、统筹协调。

(一)客体厘定是前提

权利的客体之间存在差异直接导致权利的行使方式和支配内容大不相同，因此权利的客体厘定是个人信息控制权塑造的“元问题”。理论界之所以存在个人信息控制权与其他权利的认知混淆，根本原因就在于个人信息控制权客体的厘定未得到充分而清晰的阐述。司法实务中，个人信息权利频遭侵犯的现实倒逼理论界对个人信息控制权的客体进行厘定，客体的厘定可为个人信息控制权的规范运行和实质保障奠定法理基础。

首先，需要明确权利的客体是什么，信息能否成为权利的客体。“客体是指民事权利和民事义务所指向的事物”，这是我国民法学界关于权利客体的典型表述，其认识来源是我国民法对平等主体之间民事法律关系客体的规定。历史地看，权利的客体体系是一个开放而非闭锁的体系，是一个有弹性而非一成不变的体系。随着社会的进步与时代的变迁，权利的客体范围必然拥有创新发展的可能性。在大数据与网络信息高速发展的背景下，依附于信息资源的权利类型不断出现，如信息产权、信息传播权、信息安全权、信息获取权等权利，以上信息权利的创设正是现实信息与法治思维高度契合的结果，无不建立在承认信息是一种权利客体的事实基础之上[18]。尤其在生态文明建设领域，环境信息作为一种特殊的信息，兼具公共性和私益性，环境信息作为权利客体的论观已逐渐成为公众环境信息权法理证成与规范塑造的可含内容[19]。因此，信息能成为权利的客体是权利客体理论发展之必然，是信息文明时代演进之必然。

其次，在认清什么是权利的客体和确认信息能成为权利的客体之后，需要进一步思考什么是个人信息，个人信息与个人数据、个人隐私有何区别。就目前个人信息概念的认知状况而言，学界和法律规范文本对个人信息的认知虽有所不同，但个人信息的存在独立性、人身识别性、内容广泛性、传播单向性已被广泛认可，意味着个人信息是信息主体存在的客观反映，通过分析个人信息(或结合其他信息)能够识别信息主体的活动轨迹、生活样态、个人情况等。区别相近概念可进一步理解个人信息的内涵和外延。从个人信息与个人数据的比较区分来看，两者是载体和内容之间的关系，个人信息是个人数据的实然表现内容，个人数据是个人信息的应然内容载体。从个人信息与个人隐私的比较区分来看，个人信息的性质体现为私密性和公共性，而个人隐私在性质上仅体现为私密性(3)《民法典》第1032条第2款规定“隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息”。，往往是个人未公开的私密信息。这就决定了两者虽然在内容上存在一定的重合，但个人隐私重在保护个人的秘密空间，而个人信息兼具识别效能，科学分析个人信息能有效辨明社会中的个人，这与《民法典》的规定是相吻合的。从更深的层次来看，两者在性质上的差异决定两者的价值差异。个人隐私在价值层面由于无法适用人格权商品化的相关理论，所以仅能体现其人格价值；而个人信息在价值层面不仅直接体现其人格价值，通过商业利用和数据加工还可间接体现其财产价值。

最后，在前述研究的基础上，需要界定何为个人信息控制权的客体。就权利生成指向而言，个人信息控制权理念的产生原因不仅在于对现代信息社会风险下个人秘密空间的保护，更在于对带有个人识别性资讯流通的合理限制。可见，个人信息控制权的客体不只具有私密性，而且具有流通效能。隐私权的客体是个人隐私，个人数据权的客体是个人数据，个人信息控制权的客体是个人信息，权利的客体不同决定了个人信息控制权和隐私权、个人数据权是不同范畴的权利。简而言之，只有个人信息控制权的客体被清晰厘定，才可有效破解个人信息控制权的权利混淆困境。

(二)利益调和是基础

在新兴权利的多维空间里，个人信息控制权并非单向度地运行，其运行涉及多个权利向度，多种权利相互交错。多种权利并存且和谐融洽是理想状态下的权利秩序。然而，由于各个权利所涵摄的利益并非处于同一价值维度，这就决定了理想状态下的权利秩序难以实现。利益冲突是权利冲突的本质所在，欲想解决权利冲突之困境，应先对权利所涵摄的利益加以调和。利益位阶和利益平衡是利益调和的两种可行方式。

就概念指向而言，各种利益的顺位排列称之为利益位阶[20]。通过利益位阶的方式解决权利冲突问题，实质上是对利益实现先后顺序的综合考量，即综合考虑对立利益中哪一种利益应优先得到保护的问题。利益位阶以利益识别为起点，这就需要明确和认识冲突的利益，以重大疫情防控中的权利冲突为例加以说明。在重大疫情防控中，个人信息控制权所涵摄的是个人信息的人格利益，公众知情权所涵摄的是公共利益。在明确冲突的利益是个人信息人格利益和公共利益后，由社会本位理论可推导出此时的平衡点是偏向于公共利益的。检视《民法典》相关规定可知，为维护公共利益而处理个人信息的行为是不需承担民事责任的(4)《民法典》第1036条规定“处理个人信息，有下列情形之一的，行为人不承担民事责任：(一)在该自然人或者其监护人同意的范围内合理实施的行为；(二)合理处理该自然人自行公开的或者其他已经合法公开的信息，但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外；(三)为维护公共利益或者该自然人合法权益，合理实施的其他行为”。。依据实践调和原则，在公共利益优先于个人信息人格利益的利益位阶基础上，要尽量减小对个人信息人格利益的损害，这是因为“优先保护某种利益时，也不能逾越达到此目的所必要的限度，对利益的优先保护要限制在可容忍的限度之内”[21]。如此一来，重大疫情防控中患者个人信息控制权与公众知情权的冲突就可以得到科学理性的化解。

平衡是权利主体让渡非核心利益作为其他权利主体实现其核心利益的一种张力状态，在此状态下各权利主体的核心利益均能得到保护和实现[22]。当冲突的利益之间不存在保护先后之分时，可选择利益平衡的方式。依据利益平衡理论可知，冲突的利益是可以平衡的，这里的“平衡”意味着各方利益的协调和兼顾。激励机制的设定在利益平衡中尤为重要，在激励机制的推动下权利主体愿意为换取更多的利益而做出让步，这就为冲突利益的调和留出足够的空间，使冲突利益的平衡成为可能[23]。以互联网征信中的权利冲突为例，被征信人的个人信息控制权所涵摄的个人信息人格利益与授信人知情权所涵摄的经济利益是可以有效平衡的。法律规定个人信息控制权的权利主体以牺牲极少非核心利益为代价而在信用交易活动中获取更多的物质利益时，理性的权利主体因为这种激励机制愿意选择为必要的核心利益让步，如此一来，互联网征信中被征信人的个人信息控制权与授信人知情权的冲突在相互平衡的空间里能够得到一定程度的化解，从而有利于权利背后总体利益的增进和保护。

(三)实质保障是核心

个人信息控制权的立法缺陷、侵权人的多元化、侵权方式的隐蔽性等现实因素综合造成权利被侵犯困境的出现。个人信息控制权的抽象保障是权利被侵犯困境形成的根本原因，实现个人信息控制权由抽象保障转为实质保障的过程就是突破权利被侵犯困境的过程。具体而言，可从如下两个方面实现这种转向。

第一，完善个人信息控制权保护立法。“个人信息保护本身就是源自对个人基本权利的保护。”[24]个人信息控制权的立法表达至今尚未实现，意味着法律层面还未承认信息主体拥有个人信息控制权，权利立法表达的缺失意味着个人信息控制权尚未达到实质保障的程度。从域外相关立法经验来看，个人信息保护的集中式立法和信息主体对个人信息的控制是德国个人信息保护立法的核心理念[25]，在此理念推动下的个人信息保护法对德国公民个人信息控制权发挥了巨大的实质保障作用。鉴于此，我国应尽快出台一部与《民法典》相匹配的以私权保护为理念的个人信息保护法，个人信息控制权的立法表达和保护规制就可通过该法实现。该法在内容设计上应当明确个人信息控制权的概念和属性，明确个人信息查询权能、个人信息保密权能、个人信息更正权能等基本内容，明确个人信息控制权的行使方式如同意规则，明确侵权责任的范围、侵权行为的认定标准，以及侵权赔偿数额，等等。值得注意的是，在设计侵权赔偿数额时，应充分结合个人信息控制权的人格权法律属性，确立个人信息控制权受到侵害时的精神损害赔偿责任，赔偿数额应根据侵权行为的方式、获利情况以及损害事实等因素进行综合考量。

第二，明确个人信息控制权受侵害时的过错推定归责原则。当个人信息控制权受到侵害时，归责原则的选择合理与否决定了个人信息控制权能否得到及时有效的救济。通过梳理其他国家(地区)的相关法律法规可知，大多数发达国家(地区)对个人信息控制权的侵权认定采用无过错归责原则，并且信息处理方(商家)都承担较大的责任。我国尚属发展中国家，采用何种归责原则应与发达国家作出国情上的区分，如果采用无过错归责原则可能会限制网络技术与数据市场的健康发展，但如果采用一般过错归责原则，将不利于救济受害人。司法实务中，个人信息侵权诉讼中举证责任的分配是决定个人信息控制权能否得到实质保障的关键因素。现实中，个人信息侵权诉讼中受害者相比侵权者在举证能力方面处于劣势地位，所以在举证责任分配时应采取举证责任倒置的方式，即由侵权者举证证明其未实施个人信息侵权行为，而受害者只需提供初步证据证明其个人信息被侵犯的事实存在即可(5)例如，受害人上午在银行开户并留存手机号码，下午就收到房产公司的垃圾短信或推销电话，只要受害人能够提出证明上述事实的证据，即可推定银行非法将受害人的联系方式披露给房产公司。如果银行无法证明其未非法披露受害人的联系方式，则需承担侵权责任。。个人信息侵权诉讼中实行过错推定归责原则可引发举证责任倒置，不仅符合我国现阶段的基本国情，同时也符合保护受害者权益的需求。

(四)合理限制是关键

依据权利相对性理论，在权利的行使维度，权利总是相对的，受限制的；在权利的存在维度，权利总是绝对的。究其根本，限制权利的目的不在于消减和压缩权利，而在于实现权利[26]。因此，对个人信息控制权加以合理限制，确保其在规范边界内运行，有利于防范个人信息控制权被滥用。

要保障权利，就必须限制权利。在保障个人信息控制权的基础上对该权利加以合理限制，关键在于对权利主体行为自由的合理限制。一种具体而明确的权利主体行为自由限制模式，不但能有效划清不同权利主体的利益界限，还能协调权利主体间的不同需求。对个人信息控制权而言，权利主体行为自由应有如下三个方面的限制：一是对权利主体行使个人信息控制权的目的或动机进行限制。维护自身正当且合法的权益而行使权利是法律所允许的。倘若权利主体行使个人信息控制权的目的在于危害公共安全、扰乱市场秩序、损害公民健康等，这种行使权利的行为就应当被限制。二是对权利主体行使个人信息控制权的尺度进行限制。尺度一方面意味着法益的边界，若权利主体行使权利时逾越了法益的边界，就会造成不应有的危害；尺度另一方面意味着信息主体对个人信息的相对控制[27]，倘若信息主体对个人信息拥有全面控制权，将不利于个人信息的正常流通和利用。三是对权利主体行使个人信息控制权的方式进行限制。权利行使方式的不当同样会引发权利被滥用的问题，同意规则是权利主体行使个人信息控制权的主要方式。结合实践操作来看，笔者认为，立法应针对个人信息主体、个人信息敏感度以及个人信息流通阶段等因素对同意规则加以限制。总之，为确保个人信息控制权行使的正当性和规范性，对个人信息控制权进行合理的限制实有必要。

需要注意的是，制度设计者应当把对个人信息控制权的合理限制视为保障权利和达成其他价值目标的一种必要手段，如若个人信息控制权被过度限制，极易造成个人信息控制权被“掏空”的尴尬窘境。所以，对个人信息控制权的限制程度应当保持必要的清醒——遵循比例原则和权利本质保留原则。比例原则包括适当性原则、必要性原则和相称性原则三个子原则[28]，其中，适当性原则要求限制权利的目的适当和基点正确，必要性原则要求限制权利的手段对权利的损害最小，相称性原则要求限制权利的目的之利益大于所牺牲之利益。按照比例原则下的三个子原则的要求，对个人信息控制权的限制应当采取对个人信息控制权损害最小的手段进行限制，倘若限制所造成的利益损失大于所要保障的利益，那就应当放弃限制。权利本质保留原则是指对权利的限制必须保留该项权利的核心内容，不能使之失去本质，若权利的本质被限制则该项权利就只剩下“空壳”。个人信息控制权的核心本质在于权利主体对个人信息的自主支配、自主保管和自主利用，因而在对个人信息控制权进行限制时，应当对以上个人信息控制权的核心本质加以保留。如此，可有效避免以保护高位阶的利益为借口而虚化个人信息控制权本质内容的极端现象的出现。

四、结 语

中国已迈入以信息为标识的民法典时代，新兴权利的产生和发展在本质上乃是回应社会绝大多数主体正当利益诉求的自然体现。信息社会呼唤信息主体拥有个人信息控制权，它既是以信息为标识的民法典时代“信息人”的基本价值追求，也是信息文明演化进程中不可或缺的内容。一方面，民法典时代的个人信息控制权作为一项新兴权利，将其作为一个具有独立意义的法学概念看待并在现实维度上加以探微和诠释，符合新兴权利的研究规律。另一方面，个人信息控制权作为一项特殊的独立的人格权，对其核心问题进行全面梳理和理性探讨涉及整个民法典时代个人信息权利观念的革新发展问题，理应得到理论界的关注与实务界的回应。研究发现，个人信息控制权在实现过程中存在权利混淆、权利冲突、权利被侵犯以及权利被滥用的现实困境。研究结果表明，个人信息控制权的规范塑造应以“客体厘定是前提、利益调和是基础、实质保障是核心、合理限制是关键”为基本维度。民法典时代法学理论发展的脚步不会停歇，个人信息控制权理论的完善和发展仍需广大学者继续进行探索。